アイデンティティは新たな境界: IdP だけでは不十分

クラウド優先の環境では、アイデンティティはセキュリティの最も重要なレイヤーの 1 つです。 組織は IdP の活用を推進していますが、重大なアイデンティティ保護のギャップが引き続き存在しています。

Okta、Microsoft Entra ID、Google Cloud Identity などのアイデンティティプロバイダー (IdP) の台頭は、組織による人間のアイデンティティ認証の一元化と強化を後押ししてきました。 多要素認証 (MFA)、シングルサインオン (SSO)、ポリシー適用などの戦略的実践により、IdP は従業員のアクセス制御の要となっています。

2025 年 Tenable クラウドセキュリティリスクレポートによると、Amazon Web Services (AWS) を使用している組織の 83% が、1 つ以上の IdP を設定しています。これは、アイデンティティに関する手法がより成熟していることを示しています。 IdP は認証と承認に重点を置き、アイデンティティを検証し、誰がどのシステムにどのような条件でアクセスできるかを強制します。

IdP の使用は前向きな一歩であるものの、組織は引き続きこのツールでは十分にカバーできていない有害なアイデンティティリスクにさらされています。 IdP では、アイデンティティがクラウド環境内 (さらには複数のクラウド環境間) でどのように動作するかを把握できません。特に権限昇格やラテラルムーブメントなどの高度なアイデンティティ脅威に関しては把握が不十分です。 IdP だけに頼ると、重大な盲点が生じることになります。 Tenable Cloud Security は、こういったアイデンティティセキュリティのギャップをどのように解消するのでしょうか。

IdP がカバーしないギャップ

1.過剰な権限

課題: 開発者が、IAM の役割やサービスアカウントに広範な権限 (s3:*、iam:*、ec2:*など) を付与することがよくあります。 こういったデフォルト設定が監査されたり、後で削除されたりすることはほとんどありません。

危険な理由: 過度に寛容なアイデンティティが 1 つ侵害されると、攻撃者は過剰な権限を取得し、環境全体の乗っ取りにまで至る可能性があります。

Tenable Cloud Security の役目:

• クラウドインフラ権限管理 (CIEM) を統合し、環境全体の実際の有効なアクセス許可をマッピングします。
• 許可されていないアイデンティティを自動的に識別します。
• 憶測ではなく、実際の使用状況に基づいて、最小権限ポリシーを推奨します。
• ジャストインタイム (JIT) アクセスを可能にし、クラウドリソースや SaaS アプリケーションへの常時アクセス権を削減し、監査適合性を向上させます。
• 実際の使用状況に裏付けられています。

2. 休眠状態の、古くなった認証情報

課題: サービスアカウントやアイデンティティアクセス管理 (IAM) の役割は、その目的を終えたあともしばしば長期にわたり残ります。 それらはアクティブな状態のまま放置され、使用されることなく、監視されることもありません。

危険な理由: 攻撃者は休眠状態の認証情報を狙います。 そういった認証情報はほとんど更新されず、有効期限もなく、気付かれずに本番環境のロックを解除してしまう可能性があります。

Tenable Cloud Security の役目:

• Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azure、Oracle Cloud におけるアイデンティティの使用状況を継続的に監査します。
• 30 日、60 日、または 90 日以上使用されていないアイデンティティにフラグを付けて、非アクティブ化を許可します。
• リアルタイムの可視性を提供して、攻撃者がこうした気付かれにくい攻撃経路を見つける前に、攻撃経路を排除します。

3. 設定ミスがある信頼ポリシー

課題: IAM 信頼ポリシーは、誰がどの役割を引き受けられるかを定義します。 ところが、あまりにも多くの場合において 「このアカウントのすべてのプリンシパルを許可」というように大雑把に記述されています。

危険な理由: こういった設定ミスは、特にクロスアカウントのシナリオで、権限昇格、ラテラルムーブメント、または役割の乗っ取りを可能にすることがあります。

Tenable Cloud Security の役目:

• IAM 信頼ポリシーを解析し、過度に寛容な設定にフラグを立てます。
• アイデンティティの信頼と関連するネットワークエクスポージャーを関連付け、理論上の設定ミスだけでなく、実際の攻撃経路を示します。
• 役割の引き受けを脆弱性として悪用される前に、チームがセキュリティを強化できるよう支援します。

Tenable Cloud Security による完全なアイデンティティファブリックの保護

IdP はアクセス制御において重要な役割を果たすものの、アイデンティティ全体の一部しかカバーしていません。 Tenable Cloud Security は、IdP を補完するだけでなく、IdP をはるかに超えた次のような機能を持つ、高度なクラウドネイティブなアイデンティティセキュリティを提供します。

継続的な検出とリスクマッピング

• マルチクラウド環境で、人間および人間以外のすべてのアイデンティティを自動検出します。
• 有効なアクセス許可、信頼関係、アクセス権の影響範囲をマッピングします。
• AWS、Azure、GCP、Oracle Cloud 全体を一元的に可視化します。

優先順位付けされたリスクの文脈の提供

• Tenable One サイバーエクスポージャー管理プラットフォームを使用して、マルチクラウド環境やハイブリッド環境全体のインフラ、アイデンティティ、脆弱性、ネットワーク、データ、AI リソースを関連付けます。
• 最も優先度の高いリスクを洗い出します。
• 何が問題なのかを示すだけでなく、それがなぜ重要なのか、どうすれば早く解決できるのかという文脈を示します。

CIEM と JIT アクセスによる最小権限

• 自動化された CIEM 主導のポリシー勧告を使用して、最小権限を大規模に適用します。
• 期限付きの JIT アクセスで、最小権限をよりきめ細かく設定します。
• IAM ハイジーンを DevSecOps ワークフローに統合し、時間の経過に伴う権限ドリフトを防止します。

クラウドにおけるアイデンティティセキュリティの複雑性を理解することが CISO にとって重要な理由

IdP は必要であるものの、十分とはいえません。 攻撃者は、アイデンティティの設定ミスを、ネットワークエクスポージャーやパッチ未適用の CVE と連鎖させることで、組織内でラテラルムーブメントを実施しています。 IdP は初期アクセスを防ぐのに役立つかもしれませんが、クラウド環境の奥深くの、ワークロード、データパイプライン、サービスアイデンティティの間では、深刻なセキュリティ上の戦いが繰り広げられています。

Tenable Cloud Security と Tenable One を使用すれば、アイデンティティの全体像を把握して保護し、そのすべてをより広範なクラウドエクスポージャー管理戦略に結びつけることができます。

➡️ Tenable クラウドセキュリティリスクレポート 2025 をダウンロード

➡️ 調査についてのオンデマンドウェビナーを見る

➡️ このシリーズの前回のブログを読む: クラウド環境のワークロードにおける ３ つの緊急なセキュリティリスク

ログインの安全性を確保するだけではなく、 すべてのアイデンティティを保護する必要があります。 Tenable Cloud Security を使用すれば、アイデンティティは致命的な弱点ではなく、最も強力なコントロール手段となります。